六、我国当前数据保护存在的问题
从专项测评和专项整治活动开展过程中发现的问题来看,我国企业侵害数据安全和侵犯公民个人信息的情形多有发生,当前数据保护的总体水平同监管部门的要求和社会公众的预期尚且存在一定差距。这同数据保护立法在我国起步较晚有一定关联。在立法层面,《网络安全法》施行至今尚不足3年,且其作为我国全面规范网络空间安全管理方面问题的基础性法律,条文多为框架性规定,尽管其为网络运营者确立了一系列框架性的义务,但在义务的具体细化上并不充分。这是由其作为基础性法律的性质所决定的,需要将更多细化规范留待其他专门性法律、法规、规章甚至国家标准来勾勒。在《数据安全法》《个人信息保护法》等专门性法律的立法工作尚未完成之际,数据及个人信息保护领域的部分规范散见于各类行政法规、规章、标准之中,不利于企业系统性地学习和把握监管精神和具体要求,给企业合规工作造成了一定的困难。
在立法起步晚的同时,相当一部分企业对数据保护问题重视程度不足,是导致我国当前数据保护情况不容乐观的重要原因。
App违法违规收集、使用用户个人信息无疑是当前数据保护领域企业违规的典型现象,该等问题在实践中的主要表现形式包括:未公开收集使用个人信息规则、强制授权、过度索权、超范围收集个人信息、超范围使用个人信息、未公开SDK等第三方插件收集使用个人信息情况、未提供有效的注销用户账号功能等。尽管App违法违规收集使用个人信息专项治理已火热开展一年有余,App违法违规收集使用个人信息专项治理工作组多次公示了违规App名单,各地公安机关在“净网行动”中也对该等问题进行了重点打击,但由于市场上手机App数量繁多,相关企业数据保护水平参差不齐,导致App违法违规收集、使用用户个人信息的现象仍然普遍存在。
个人信息买卖也是整治活动中屡禁不止的一个典型问题。数据对于商业发展的意义毋庸置疑,尤其体现在电子商务、金融借贷、出行旅游等领域。对于大部分企业而言,通过正当方式获取大量数据所需的成本相对较高,于是非法买卖个人信息的黑色产业链应运而生。部分企业通过黑色产业链可以较低成本攫取大量的个人信息用于商业运作,尽管《刑法》及相关司法解释已经对非法获取、买卖个人信息的行为进行了明确的定性,公安机关在“净网行动”中也加大了对相关黑色产业链的打击力度,但其背后蕴藏的巨大利润仍然导致部分犯罪分子铤而走险。
相较于App违法违规收集、使用个人信息和买卖个人信息,数据泄露事件发生的频率相对较低。但其一旦发生,波及面之广、危害之大远胜前两者。数据泄露是当前国内外实践中均存在的问题,不论是如Facebook、三星、雅虎这般行业领先的科技公司,还是国泰航空、万豪酒店这类传统服务业企业,由于其保存有大量的客户数据,一旦因为数据安全管理不到位导致数据泄露,都可能对用户个人信息的相关权利产生极大影响。同时,涉及金融、能源、交通、电信、公共安全、遗传资源等领域的重要数据的泄露还可能引发国家安全和个人安全问题。一旦发生数据泄露事件,企业往往将面临巨额的处罚、赔偿金以及巨大的商业利益损失。
须知,近年来数据领域监管力度的不断加强,充分说明了监管部门对数据保护相关问题的重视,企业切不可抱侥幸心理。同时,数据,尤其是个人信息相关问题由于牵涉到用户自身利益,社会公众对其重视程度正逐渐升高,未能充分尽到个人信息保护义务的企业可能会面临较大的舆论压力,导致用户的流失,对企业的商业利益造成影响。出于维护企业商誉,减少不利舆情对商业利益影响的考虑,企业也应当对数据安全问题高度关注。只有严格按照数据保护相关法律规范的要求做好对应的数据合规工作,企业才能更好地在大数据时代站稳脚跟,降低因数据违规问题受到行政处罚、刑事责任追究和商业利益损失的风险。
[1] 据全国人大常委会法制工作委员会发言人表示,2020年人大法工委计划制定《数据安全法》及《个人信息保护法》,参见《中国发布丨法工委:明年计划制定个人信息保护法、数据安全法等法律案》,http://news.china.com.cn/txt/2019-12/20/content_75533058.htm,最后访问时间:2020年3月5日。
[2] 《行政执法类公务员管理规定(试行)》第2条:“本规定所称行政执法类公务员,是指依照法律、法规对行政相对人直接履行行政许可、行政处罚、行政强制、行政征收、行政收费、行政检查等执法职责的公务员,其职责具有执行性、强制性。”
[3] 《推行行政执法公示制度执法全过程记录制度重大执法决定法制审核制度试点工作方案》第2条:“……各试点地方和部门根据实际情况,可以在行政许可、行政处罚、行政强制、行政征收、行政收费、行政检查六类行政执法行为中选择全部或者部分开展试点。”
[4] 中华人民共和国中央人民政府网站“国务院办事机构”一栏显示:国家互联网信息办公室与中央网络安全和信息化委员办公室,一个机构两块牌子,列入中共中央直属机构序列,http://www.gov.cn/guowuyuan/zuzhi.htm,最后访问时间:2020年2月17日。
[5] 《工业和信息化部网络安全管理局2019年“双随机一公开”检查结果公示》,http://www.mi-it.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057728/c7565082/content.html,最后访问时间:2020年3月2日。
[6] 《工业和信息化部网络安全管理局对多家涉及网络数据和用户个人信息安全突出情况的企业开展问询调查》,http://www.miit.gov.cn/n1146290/n1146402/n1146440/c6284388/content.html,最后访问时间:2020年3月2日。
[7] 《工业和信息化部网络安全管理局就“ZAO”App网络数据安全问题开展问询约谈》,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057728/c7392754/content.html,最后访问时间:2020年3月2日。
[8] 《公安机关对网络违法犯罪案件实行“一案双查”》,http://legal.people.com.cn/n1/2018/0818/c42510-30236093.html,最后访问时间:2019年1月21日。
[9] 葛鑫:《App违法违规收集使用个人信息专项治理重点工作概述》,http://pip.tc260.org.cn/jbxt/privacy/detail/20190430103756646533,最后访问时间:2020年2月16日。